Назад | Перейти на главную страницу

Отключить вход с открытым ключом SSH для пользователя, когда его учетная запись Active Directory отключена

В моей среде много пользователей, которые развертывают свои открытые ключи на серверах Linux для безопасного входа без пароля через SSH.

У всех этих пользователей есть учетные записи в нашей Active Directory, однако, когда пользователь покидает компанию и мы отключаем его соответствующую учетную запись AD, ее ключи все еще там, и она все еще может входить на все серверы, на которых развернуты ее открытые ключи.

Есть ли способ запретить пользователю входить на сервер с помощью его открытого ключа, когда его учетная запись AD отключена, заблокирована, срок действия истек или удален?

Примечание: Мы используем PBIS-Open для аутентификации AD

Вы можете установить пользовательскую оболочку на /sbin/nologin, это также может быть другой путь в зависимости от дистрибутива и версии.

usermod --shell /sbin/nologin <user-name>

Кроме того, вы также можете установить дату истечения срока действия.

usermod --shell /sbin/nologin --expiredate 1 <user-name>

В зависимости от вашей конфигурации эта информация также может быть настроена в LDAP, NIS или непосредственно в AD. В этих случаях вам, возможно, придется выполнить несколько разных команд, чтобы изменить оболочку входа и дату истечения срока действия.